Office 2013의 보안 개요

  • 아티클

 

적용 대상: Office 2013, Office 365 ProPlus

마지막으로 수정된 항목: 2016-12-16

요약: Office 2013의 새로운 보안 기능인 인증, ID, 웹 앱 카탈로그와 확장, 에스크로 키 등에 대해 알아봅니다.

대상: IT 전문가

Office 2013에는 새로운 인증 기능이 포함되어 있습니다. 이제 사용자가 프로필을 만들어 한 번 로그인한 후에는 ID를 다시 입력할 필요 없이 로컬 및 클라우드 Office 파일에 쉽게 액세스하여 작업할 수 있습니다. 또한 조직의 비즈니스용 OneDrive나 사용자의 개인 OneDrive 계정 같은 여러 서비스를 자신의 Office 프로필에 연결할 수 있습니다. 그러면 모든 파일 및 연결된 저장소에 빠르게 액세스할 수 있습니다. OneDrive를 비롯한 모든 Office 앱에 대해 한 번만 인증하면 됩니다. 이는 ID 공급자, 전문가 및 소규모 기업용 Office 365에 액세스하는 데 사용하는 Microsoft 계정이나 사용자 ID 또는 앱에서 사용하는 인증 프로토콜에 상관없이 적용됩니다. 프로토콜의 예로는 OAuth, 양식 기반, 클레임 기반, Windows 통합 인증 등이 있습니다. 사용자 측면에서 볼 때 어떤 방식으로든 사용 가능하며, IT 측면에서 볼 때에는 이와 같이 연결된 서비스를 쉽게 관리할 수 있습니다.

Office 보안을 안내하기 위한 로드맵 화살표

이 문서는 Office 2013 보안 가이드의 일부입니다. 이 로드맵을 Office 2013 보안 평가를 위한 문서, 다운로드, 포스터 및 비디오의 시작 지점으로 활용하십시오.

개별 Office 2013 응용 프로그램에 대한 보안 정보가 필요하십니까? Office.com에서 "2013 보안"으로 검색하면 필요한 정보를 확인하실 수 있습니다.

Office 2013의 인증 및 ID

보호 기능은 인증 및 ID에서 시작됩니다. 이번 릴리스에서 Office의 ID와 인증은 컴퓨터 중심에서 사용자 중심으로 크게 바뀌었습니다. 이와 같이 전환된 덕분에 사용자는 데스크톱에서 태블릿, 스마트폰, 공유/공용 컴퓨터로 이동할 때 콘텐츠, 리소스, 최근 사용 목록, 설정, 커뮤니티 링크 및 개인 설정을 원활하게 로밍할 수 있습니다. IT 관리자는 사용자 감사 내역 및 준수 관련 사항도 ID별로 구분할 수 있습니다.

이 새로운 환경에서 사용자는 다음 ID 중 하나를 사용하여 Office 365에 로그인합니다.

  • Microsoft에서 관리하는 회사 또는 학교 계정 ID   업무용 Office 365 ID로, Microsoft에서 호스팅하는 엔터프라이즈 및 소규모 조직 사용자 ID가 클라우드에 저장됩니다. 이 시나리오에서는 연결된 여러 사용자 ID와 Single Sign-On도 지원합니다.

    ?또는?

    조직 소유의 페더레이션된 사용자 ID   업무용 Office 365 ID로, 엔터프라이즈 사용자 ID가 온-프레미스에 저장됩니다.

  • 사용자의 Microsoft 계정   사용자는 일반적으로 이 ID를 사용하여 개인적인 작업을 위해 Office 365에 로그인합니다. 연결된 여러 Windows Live ID를 사용할 수 있으며, 한 번 로그인하여 인증을 받으면 동일 세션이 진행되는 동안에는 다시 인증하지 않고도 Microsoft 계정을 서로 전환할 수 있습니다.

IT 관리자는 모든 사용자가 Office 365용 다단계 인증을 사용하도록 설정할 수도 있습니다. 다단계 인증은 암호에만 국한되지 않아 사용자의 보안 성능을 향상시킵니다. Office 365용 다단계 인증을 사용할 경우에는 올바른 암호를 입력하고 나서 전화나 문자 메시지, 앱 알림을 확인해야 합니다. 사용자는 이 두 번째 인증 요소를 충족해야 로그인할 수 있습니다. 설정 단계는 Office 365용 다단계 인증 설정을 참조하세요.

IT 관리자 측면에서 이와 같은 새로운 패러다임의 핵심 요소는 Active Directory입니다. IT 관리자는 다음 작업을 수행할 수 있습니다.

  • 여러 장치 및 서비스에 대한 사용자 암호 정책 제어

  • 그룹 정책을 사용하여 운영 환경 구성

  • FIM(Forefront Identity Manager) 또는 AD FS(Active Directory Federation Services)를 사용하여 관리

클라우드에서는 다음과 같은 작업을 진행할 수 있습니다.

  • 웹 포털을 사용하여 클라우드에서 사용자 계정 관리   설정이 간편하고, 사용자를 수동으로 프로비전하여 최대한 제어할 수 있으며, Microsoft가 모든 작업을 관리하므로 서버가 필요하지 않습니다.

  • 모든 온-프레미스 디렉터리는 웹 포털에 동기화되는 Active Directory임   프로비저닝을 자동화할 수 있으며 사용자 계정을 클라우드 관리 계정과 함께 사용할 수 있습니다.

  • AD FS를 통해 사용자에게 Single Sign-On 기능 제공   프로비저닝을 자동화할 수 있으며 다단계 인증이 지원됩니다.

다음 다이어그램과 같이 IT 전문 관리자가 직접 전담합니다. 소규모 기업이라면 Microsoft Azure의 ID 서비스를 통해 사용자를 구축, 관리 및 인증할 수 있습니다. 사용자 계정은 웹 포털 및 Microsoft 클라우드의 Azure Active Directory를 통해 클라우드에서 관리합니다. Microsoft에서 모두 관리하기 때문에 서버도 필요하지 않습니다. 온-프레미스 Active Directory 스토어를 우선 사용하지 않고 ID 및 인증을 클라우드에서 전적으로 처리해도 IT 관리자가 포털 또는 PowerShell cmdlet을 통해 ID 및 사용자의 서비스 액세스를 프로비전하거나 프로비전 해제할 수 있습니다.

1단계에서 IT 전문가를 Microsoft 클라우드의 Office 365 관리 센터 웹 액세스에 연결합니다. 해당 전문가가 새 조직 ID를 요청하거나 기존의 조직 ID를 관리합니다.

2단계에서 이러한 요청을 Azure AD로 전달합니다.

3단계에서 요청을 변경한 경우 변경 사항이 적용되고 Office 365 관리 센터에 다시 반영됩니다. 새 ID를 요청한 경우 새 ID 요청이 ID 프로비저닝 플랫폼에 전달됩니다.

4단계에서 새 ID와 기존 ID의 변경 사항이 Office 365 관리 센터에 다시 반영됩니다.

로컬 Active Directory와 상호 작용하지 않고 클라우드에서 Office 365 ID 및 인증을 전적으로 관리

클라우드 관리 ID 및 인증

다음 다이어그램의 Microsoft 클라우드에서 Office 365 관리 센터에 사용자를 설정하면 사용자가 모든 장치에서 로그인할 수 있습니다. 사용자 장치 최대 5대에 Office 365 ProPlus를 설치할 수 있습니다.

1단계에서 사용자를 프로비전(이전 다이어그램 참조)한 후에는 다음 ID 중 하나를 사용하여 Office에 로그인합니다.

  • 사용자의 회사 또는 학교 계정(예: mike@contoso.onmicrosoft.com 또는 mike@contoso.com)

  • 사용자의 개인 Microsoft 계정(예: mike@outlook.com)

2단계에서 Microsoft는 사용자가 선택한 ID에 따라 인증할 위치와 사용할 파일 및 Office 설정을 파악합니다. 해당 ID는 Azure AD와 연결되며, 전자 메일 ID 및 연결된 암호는 올바른 Azure AD로 전달하여 인증하게 됩니다.

3단계에서 관련 요청을 테스트한 후 승인하면 Office 응용 프로그램이 사용자 장치로 스트리밍되고 사용할 수 있게 됩니다. 해당 ID와 연결된 비즈니스용 OneDrive 저장 문서는 보고 편집하는 데 사용할 수 있으며, 장치에 로컬로 저장하거나 비즈니스용 OneDrive에 다시 저장할 수 있습니다.

Azure 디렉터리 동기화를 통해 채워지는 ID 프로비저닝(클라우드 관리 인증). 클라우드 관리 인증입니다.

클라우드에 로그인하는 사용자 환경

다음 다이어그램에는 하이브리드 온-프레미스 및 클라우드 배포 시나리오가 나와 있습니다. Microsoft 클라우드 Azure AD 동기화 도구는 온-프레미스 및 클라우드 내 회사 사용자 ID를 동기화된 상태로 유지합니다.

1단계에서 Azure AD 동기화 도구를 설치합니다. 이 도구를 사용하면 온-프레미스 디렉터리에서 최근에 변경된 내용을 적용하여 Azure AD를 최신 상태로 유지할 수 있습니다.

2, 3단계에서 온-프레미스 Active Directory에 새 사용자를 만듭니다. Azure AD 동기화 도구는 온-프레미스 Active Directory 서버에서 사용자가 만든 새 ID를 정기적으로 확인합니다. 그런 다음 이러한 ID를 Azure AD에 프로비전하고 온-프레미스 및 클라우드 ID를 서로 연결하여 Office 365 관리 센터을 통해 볼 수 있도록 해 줍니다.

4, 5단계에서 온-프레미스 Active Directory의 ID에 변경된 내용을 적용하면 이러한 변경 내용이 Azure AD와 동기화되고 Office 365 관리 센터에서 사용할 수 있게 됩니다.

6, 7단계에서 사용자에게 페더레이션 사용자가 포함되어 있으면 AD FS로 로그인합니다. AD FS는 보안 토큰을 생성하는데, 이 토큰은 Azure AD로 전달됩니다. 토큰을 확인하고 유효성을 검사한 후에 사용자에게 Office 365 권한을 부여합니다.

Azure 디렉터리 동기화를 통해 채워지는 ID 프로비저닝(Active Directory Federation Server 2.0 및 클라우드 관리 인증)

AD FS 2.0을 사용한 ID 프로비저닝

사용자 환경에서 ID는 사용자가 로그인할 때 표시됩니다.

클라이언트 사용자 인터페이스   각 세션을 시작할 때 사용자는 Microsoft 계정으로 개인 클라우드에 연결할지, 아니면 Office 365 등의 서비스와 문서, 그림 또는 기타 데이터를 사용할 수 있는 Microsoft 관리 클라우드나 온-프레미스 회사 서버에 연결할지 선택할 수 있습니다.

Microsoft ID를 통해 연결하도록 선택하는 사용자는 Microsoft 계정(이전의 Passport 또는 Windows Live ID)으로 로그인하거나, Office 365에 액세스하는 데 이용하는 사용자 ID로 연결할 수 있습니다.

로그인한 사용자는 언제든지 Office 앱의 Backstage에서 자유롭게 ID를 전환할 수도 있습니다.

클라이언트 인프라   백그라운드에서 클라이언트 인증 API를 통해 사용자가 로그인/로그아웃하고 활성 사용자 ID를 전환하도록 설정할 수 있습니다. 또한 각 ID에 제공되는 서비스 및 로밍 설정(기본 설정 및 최근 사용 문서)을 추적하는 API도 있습니다.

기타 클라우드 ID 서비스   사용자는 다음과 같은 기본 서비스에 자동으로 로그인됩니다.

  • OneDrive(Microsoft 계정으로 로그인 시) 또는 SharePoint Online(회사 ID 사용 시)

  • 최근에 사용한 파일 및 설정 로밍

  • 개인 설정

  • Microsoft 계정 작업

사용자는 Microsoft 계정을 사용하여 로그인한 후에 타사 클라우드 서비스에 로그온할 수도 있습니다. 예를 들어 Facebook에 로그인하면 연결이 해당 ID를 사용하여 로밍됩니다.

그룹 정책 설정을 사용하여 데스크톱 구성 제어

4천 개가 넘는 그룹 정책 제어 개체가 제공되므로 그룹 정책을 사용하여 Office에 대한 사용자 설정을 지정할 수 있습니다. 즉 사용자를 위해 간단하게 관리할 수 있는 데스크톱 구성부터 엄격하게 제한되는 데스크톱 구성까지 폭넓은 구성을 만들 수 있습니다. 그룹 정책 설정은 항상 OCT(Office 사용자 지정 도구) 설정보다 우선 적용됩니다. 그룹 정책 설정을 사용하여 네트워크상에서 안전하지 않은 특정 파일 형식을 사용하지 않도록 설정할 수도 있습니다. 자세한 내용은 OCT 또는 그룹 정책을 사용하여 Office 2013에 대한 보안 구성을 참조하세요.

Microsoft 데이터 센터 관련 정보

Microsoft 데이터 센터 보안 프로그램은 위험에 기반을 둔 다차원 프로그램으로, 사용자와 프로세스, 기술을 두루 고려합니다. 개인 정보 보호 프로그램에서는 데이터를 처리하고 전송할 때 일관된 전역 표준의 "고급" 개인 정보 보호 방식을 따르는지 확인합니다. Microsoft 데이터 센터는 물리적으로도 안전합니다. 전체 70만 제곱피트가 넘는 수만 개의 서버가 1년 365일 24시간 내내 보호되며, 정전을 대비해 며칠 동안은 보조 전력도 제공합니다. 이러한 데이터 센터는 북미, 유럽 및 아시아의 여러 지역에서 중복 운영되고 있습니다.

Office 365는 분석 자료를 만들고 데이터를 마이닝하며 광고하거나 서비스를 개선하기 위해 사용자의 전자 메일 메시지 또는 문서를 검사하지 않습니다. 사용자 데이터는 언제나 전적으로 개인 사용자 또는 관련 회사의 소유이며, 원하는 경우 언제든지 데이터 센터 서버에서 제거할 수 있습니다.

Office 365는 다음과 같은 업무상 필수적인 중요 업계 표준을 따릅니다.

  • ISO 27001 인증   Office 365는 ISO/TEC 27001:2005로 정의되는 엄격한 물리적/논리적/프로세스/관리 컨트롤 집합을 충족하거나 초과합니다.

  • EU 모범 조항   Office 365는 EU 모범 조항 및 EU Safe Harbor 프레임워크와 관련된 표준 계약 조항을 준수하며 관련 계약을 제공할 수 있습니다.

  • HIPAA 사업 협력 계약   Office 365는 모든 고객에게 HIPAA 요구 사항 관련 계약을 제공할 수 있습니다. HIPAA는 보호되는 상태 정보의 사용, 공개 및 보안을 관리합니다.

카탈로그 및 웹 확장

Office 2013에는 Office 클라이언트용 새 확장 모델이 포함되어 있으며, 웹 개발자는 이 모델을 사용하여 웹 기능을 통해 Office 클라이언트를 확장하는 웹 확장인 Office용 앱을 만들 수 있습니다. Office용 앱은 Office 응용 프로그램 내의 한 영역으로, 문서와 상호 작용하여 콘텐츠를 보완하고 새로운 콘텐츠 형식 및 기능을 제공할 수 있는 웹 페이지를 포함합니다. 사용자는 새로운 Office 마켓플레이스 또는 개인 카탈로그에서 독립 실행형 앱이나 문서 서식 파일 솔루션의 하위 구성 요소 또는 SharePoint 응용 프로그램 형식으로 Office용 앱을 다운로드할 수 있습니다.

보안 센터의 신뢰할 수 있는 앱 카탈로그에서 다음과 같이 Office용 앱을 제어할 수 있습니다.

  • 모든 앱 사용 안 함

  • Office 스토어 앱만 사용 안 함

  • 신뢰할 수 있는 카탈로그 표에서 신뢰할 수 있는 카탈로그 추가 또는 제거

에스크로 키 및 새 DocRecrypt 도구를 사용하여 문서의 암호 다시 설정

Office 2013에서는 새로운 에스크로 키 기능이 제공됩니다. 따라서 조직의 IT 관리자가 개인 에스크로 키를 사용하여 암호로 보호된 문서의 암호를 해독할 수 있습니다. 예를 들어 Word, Excel 또는 PowerPoint를 사용하여 문서를 암호화했는데 원래 문서 소유자가 암호를 잊어버렸거나 퇴사한 경우 IT 관리자가 개인 에스크로 키를 사용하여 데이터를 검색할 수 있습니다.

에스크로 키 기능은 차세대 암호화 기능을 사용하여 저장 및 암호화한 파일에서만 작동하고, Office 2010 및 Office 2013에서 사용되는 기본 암호화입니다. 호환성을 유지하기 위해 기존 형식을 사용하도록 기본 동작을 변경하면 에스크로 키 기능을 사용할 수 없습니다. 이 새 기능에 대한 자세한 내용은 Office 2013에서 파일 암호 제거 또는 다시 설정을 참조하세요.

디지털 서명

Office 2013에서는 디지털 서명 기능이 다음과 같이 향상되었습니다.

  • OpenDocument 형식(ODF v1.2) 파일 형식 지원

  • XAdES(XML Advanced Electronic Signatures) 개선

이제 ODF v1.2 파일 형식이 지원되므로 사용자가 표시되지 않는 디지털 서명을 이용하여 Office 2013에서 ODF 문서에 디지털 방식으로 서명할 수 있습니다. 이러한 디지털 서명 문서에서는 서명란이나 스탬프가 지원되지 않습니다. 또한 Office 2013에서는 다른 응용 프로그램 내에서 서명한 후 Office 2013에서 여는 ODF 문서의 디지털 서명 확인 기능도 제공됩니다.

Office 2013에서 향상된 XAdES 기능에는 XAdES 디지털 서명을 작성할 때 이용하는 개선된 사용자 환경도 포함됩니다. 이제는 서명에 대한 더욱 자세한 정보가 사용자에게 제공됩니다.

IRM(정보 권한 관리)

Office 2013에는 새로운 UI를 통해 ID를 쉽게 선택할 수 있는 새 IRM 클라이언트가 포함되어 있으며, RMS(Rights Management Services) 서버의 자동 서비스 검색도 지원됩니다. 또한 Office 2013은 Microsoft Office WAC(Web Application Companion)에 대한 읽기 전용 IRM도 지원됩니다. WAC를 사용하면 OWA(Outlook Web Access)의 메시지에 첨부된 IRM 보호 문서나 SharePoint 라이브러리의 IRM 보호 문서를 볼 수 있습니다.

제한된 보기

Office 2013은 더욱 뛰어난 제한된 보기 기능인 샌드박스 기술을 제공합니다(Office 2013을 Windows 2012 운영 체제와 함께 사용하는 경우). Office 2013은 더욱 강력한 프로세스 격리 기능을 제공하는 동시에, 샌드박스에서 네트워크 액세스를 차단하는 Windows 2012 AppContainer 기능을 사용합니다. 제한된 보기는 Office 2010에서 도입되었습니다. 파일을 Excel, PowerPoint 또는 Word에서 편집하기 위해 열기 전에 검사할 수 있도록 *로박스(lowbox)*라는 제한된 환경에서 파일을 열어서 컴퓨터의 악용 가능성을 줄여줍니다.

기본적으로 보안을 최우선시하는 Office 2013

Microsoft에서는 소프트웨어 수명 주기의 모든 단계에서 보안을 고려합니다. Office 기능 또는 제품 개발에 참여하는 모든 직원은 보안 교육을 받고, 관련 업계와 위험이 발전해감에 따라 지속적으로 관련 학습을 진행해야 합니다. 기술 또는 제품 디자인 팀은 사용자 데이터 보안과 개인 정보 보호를 최우선으로 고려해야 하며, 암호화, 인증 또는 다른 방법을 통해 관련 위협을 줄일 수 있는 방법도 고려해야 합니다. 디자인 팀은 사용 환경, 위협에 대한 예상/가능 노출 및 데이터 보안 수준에 따라 관련 결정을 내리며, 공격 가능 부분을 여러 차례 검토하여 Office 제품이 출시되기 전에 사고 대응 계획을 마련합니다.

그러나 Microsoft는 사용자 데이터의 보안을 유지하기 위해 관련 직원에게만 의존하지 않으며, 적절한 도구와 자동화된 품질 확인 테스트도 사용합니다. 이러한 도구와 테스트는 다음과 같은 세 가지 일반 범주 중 하나에 속합니다.

  • 기능 테스트  사용자 입/출력과 작업이 예상대로 수행되고 보급되는지, 사용자 인터페이스의 모든 요소를 확인합니다.

  • 퍼지 테스트  무작위 데이터 또는 임시 데이터를 소프트웨어에 주입하여 보안 문제를 발생시키는 테스트입니다. 퍼지 테스트는 Office 2007 릴리스의 중요한 요소로, 최신 릴리스에서도 계속 제공됩니다.

  • 웹 응용 프로그램용 도구  동적 또는 웹 검사 도구를 사용하여 XSS(교차 사이트 스크립팅) 또는 SQL 주입 등의 보안 버그 가능성을 테스트합니다.

그 외에도 다양한 테스트가 끊임없이 진행됩니다. 제품 출시 후 해결되지 않은 보안 문제는 MSRC(Microsoft 보안 대응 센터)에서 처리합니다. 이 팀은 신속한 조치를 통해 고객에게 픽스를 빠르게 제공할 수 있습니다.

Office의 이전 몇 개 릴리스에 걸쳐 향상된 보안 기능의 요약 정보

Office XP, Office 2003, Office 2007 및 Office 2010에서 도입된 보안 컨트롤은 공격 가능성을 낮추고, 사용자 환경을 개선하며, 공격 가능 부분을 줄이는 동시에 보안 성능을 강화하고 IT 관리자가 사용자 생산성은 유지하면서 위협에 대한 강력한 방어 기능을 좀 더 쉽게 구축할 수 있도록 했습니다. 구체적으로는 다음과 같이 보안 성능이 개선되었습니다.

Office에서는 다음과 같은 기능이 도입되어 공격 가능성이 완화되었습니다.

  • 제한된 보기

  • 문서 흐름 보호

  • 패치 관리

  • 암호화 유연성

그리고 다음 기능을 통해 사용자 환경이 개선되었습니다.

  • 보안 센터 및 메시지 표시줄, 신뢰할 수 있는 위치, 신뢰할 수 있는 게시자 및 신중한 신뢰 결정

  • 조치 가능한 보안 프롬프트

  • 암호 설정 기능 개선

  • 문서 검사

  • XML 파일 형식 지원

Office에서는 다음 기능을 통해 공격 가능 부분의 보안 성능이 강화되었습니다.

  • DEP(데이터 실행 방지) 지원

  • 그룹 정책 적용

  • 디지털 서명에 대한 신뢰할 수 있는 타임스탬프 지원

  • 도메인 기반 암호 복잡도 확인 및 적용

  • 개선된 암호화 강화

  • CryptoAPI 지원

Office에서는 다음 기능을 통해 공격 가능 부분을 줄였습니다.

  • Office 파일 유효성 검사

  • 확장된 파일 블록 설정

  • ActiveX 컨트롤 보안

  • ActiveX “kill bit”

  • 암호화된 파일 무결성 검사

  • 매크로 보안 수준

파일 퍼지 테스트에 대한 추가 정보

파일 퍼지 테스트는 여러 파일 형식에서 이전에 알려지지 않은 취약점을 파악하는 데 사용됩니다. Office 팀에서는 수천만 회에 달하는 파일 퍼지 테스트를 수행하여 다수의 취약점을 파악하고 해결했습니다.

데이터 실행 방지에 대한 추가 정보

Windows에서 기본 제공되며, Office 2010부터 모든 Office 응용 프로그램으로 확장 제공되는 이 하드웨어/소프트웨어 기술은 예약된 메모리에서 코드를 실행하려고 하는 파일을 식별합니다. 이 보호 기능은 64비트 버전에서는 항상 설정되고, 32비트 버전에서는 그룹 정책 설정을 사용해 구성할 수 있습니다. 악성 코드가 검색되면 해당하는 응용 프로그램이 자동으로 종료됩니다.

제한된 보기에 대한 추가 정보

위험한 것으로 의심되는 파일을 안전하게 볼 수 있도록 하는 제한된 보기는 Office 2010에서 도입되었으며, 이제는 네트워크 액세스를 제한하는 Windows 2012 AppContainer를 통해 프로세스 격리가 더욱 향상되었습니다.

참고 항목

Office 2013 보안 가이드
Office 2013의 ID, 인증 및 권한 부여 개요
Office 365 및 Office 2013 SKU의 보안 기능 비교
Office 2013에서 정보 권한 관리 계획
Office 2013 디지털 서명 설정 계획